9月10日,谷歌發(fā)布了9月份安全報告,批量修復了安卓平臺多個安全漏洞。其中,360安全研究員龔廣提交的漏洞也被確認和修復,并獲得了谷歌公開致謝,這也是360今年第三次收到谷歌致謝。
圖1:九月谷歌公開致謝360團隊發(fā)現(xiàn)并提供漏洞
據(jù)悉,360此次發(fā)現(xiàn)的漏洞曾在2015年黑帽大會上公開利用方法。此外,9月份谷歌發(fā)布的安全報告中,另一個漏洞也是由360的安全研究員龔廣向chrome team提供并提交給Android team,谷歌對提交發(fā)現(xiàn)此漏洞的團隊還提供了3000美金獎勵。
龔廣介紹,他發(fā)現(xiàn)安卓libcutils庫中存在一個整數(shù)溢出導致的堆破壞漏洞。利用這個漏洞,惡意應用能在其他應用的進程中執(zhí)行任意代碼,包括在高權(quán)限的系統(tǒng)應用system_server中執(zhí)行任意代碼。
360安全研究員龔廣提到,利用這個漏洞,惡意應用可以獲取手機上的隱私數(shù)據(jù),如短信,通話記錄,聯(lián)系人,wifi密碼等,惡意應用還可以對手機進行很多敏感操作,如打電話,發(fā)短信,監(jiān)控攝像頭,麥克風等。
據(jù)了解,此次并不是360首次發(fā)現(xiàn)安卓漏洞并獲得谷歌官方公開致謝。早在今年3月、今年8月,360手機衛(wèi)士安全研究員龔廣就由于先后發(fā)現(xiàn)谷歌Android存在的8個漏洞而受到谷歌官方的致謝。
圖2:八月谷歌公開致謝360團隊發(fā)現(xiàn)并提供漏洞
由于安卓先天具備的開放性,在安全防護方面有些許不足。谷歌開始對安卓的安全越來越重視,今年6月針對安卓啟動了一個名為Android security rewards的安全獎勵項目,重金征集漏洞,360連續(xù)多次發(fā)現(xiàn)漏洞并提供給谷歌獲得其致謝。
圖3:三月谷歌公開致謝360團隊發(fā)現(xiàn)并提供漏洞
360手機衛(wèi)士數(shù)次首家查殺高危木馬、封堵漏洞,并屢屢受到谷歌的公開致謝。此外,360因發(fā)現(xiàn)并協(xié)助修復漏洞還獲得來了微軟、蘋果、Adobe等巨頭的致謝。自2009年以來,360已累計86次獲微軟安全公開致謝,在全球安全軟件廠商中排名首位。對于安全團隊來說,及時對漏洞及安全威脅做出快速反應是其技術實力的直接體現(xiàn),這也是安全廠商專業(yè)性的體現(xiàn)。
京公網(wǎng)安備 11010502049343號